CN112788007A - 基于卷积神经网络的DDoS攻击检测方法 - Google Patents
基于卷积神经网络的DDoS攻击检测方法 Download PDFInfo
- Publication number
- CN112788007A CN112788007A CN202011605950.9A CN202011605950A CN112788007A CN 112788007 A CN112788007 A CN 112788007A CN 202011605950 A CN202011605950 A CN 202011605950A CN 112788007 A CN112788007 A CN 112788007A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- ddos attack
- network flow
- convolutional neural
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Abstract
本发明是基于卷积神经网络的DDoS攻击检测方法,通过研究了DDoS攻击与检测的现状和发展趋势,分析了DDoS攻击原理、类型以及SVM的工作原理和网络流数据处理的方法并引入卷积神经网络对模型进行训练,学习各种网络安全指标,以实现对网络的全面评估。首先,对数据进行Min‑Max归一化、PCA降维处理,通过核函数将预处理后的样本映射到高维特征空间,再引入参数V控制支持向量和错误向量的个数。然后,将初始模型转换为对偶模型,求出决策系数w和决策项b,最终获得最优分类超平面。基于卷积神经网络的DDoS攻击检测方不仅提高了分类准确率、降低了误报率,还确保了分类模型的稳定性和时效性,它更高效地检测了DDoS攻击,降低了网络安全的风险。
Description
技术领域
本发明是基于卷积神经网络的分布式拒绝服务(Distributed Denial ofService,DDoS)攻击检测方法,主要研究了DDoS攻击与检测的现状和发展趋势,分析了DDoS攻击原理、类型、支持向量机以及卷积神经网络的工作原理和网络流数据处理的方法并进行攻击流量的异常检测,属于网络安全、大数据及分布式计算交叉领域。
背景技术
网络流(Network-Flows)是指在一段时间内,源IP和目的IP之间传输的具有相同源端口和目的端口的数据包的集合,它具有速度快、维数多、规模宏大等特点。网络流中单一的数据包或帧是没有具体含义的,将它的分析过程应用于实际网络场景才具有现实意义。而网络流异常检测是网络流分析技术的重要基础部分,流异常通常指对网络正常使用造成不良影响的网络流模式,表现为网络业务流量的异常升高或降低。其类型主要有DDoS异常流、Alpha Anomaly异常流、Port Scan异常流、Network Scan异常流、Worms异常流以及Flash Crowd异常流等。
DDoS是一种基于拒绝服务攻击(Denial of Service,DoS)特殊形式的大规模协同攻击。首先,攻击者通过识别网络中的漏洞在多台机器上安装恶意软件程序并控制它们。然后,攻击者在不需要了解受害者任何信息的情况下,根据攻击包的强度和用于攻击的主机数量,利用这些僵尸主机向受害者发送攻击数据包,对受害者网络产生不同程度的损害。如果“僵尸”的数量非常庞大,它可能会在很短的时间内破坏一个网络或者Web服务器。常见的DDoS攻击包括Smurf、Neptune和SYN Flood等,DDoS攻击者的首要目的就是破坏网络使得它不能为合法用户提供任何服务。
发明内容
技术问题:目前DDoS攻击手法隐蔽、破坏性强、组织性高,使得整个网络环境存在巨大的安全隐患。由于现有的网络设备和传统安全防御技术——防火墙和入侵检测系统(Intrusion Detection Systems,IDS)无法提供足够的安全保护。当前,国内外学者尝试着采用新型检测技术对网络实施安全保护,包括基于不同范围的网络流检测、基于不同网络攻击类型的检测以及基于不同检测原理的系统测试,但随着全球物联网、大数据以及云计算迅速发展的热潮,“互联网+”时代将被不断推进,DDoS攻击的流量峰值还会不断提升。它将呈现出态势多变、小规模攻击数量上升、攻击事件利益最大化以及攻击手段考虑投入产出比等特点,使得现有的网络态势评估方法无法有效评估DDoS的安全态势。
技术方案:网络流异常检测是当前Internet安全领域的热门话题。本发明基于DDoS攻击的原理、网格搜索法、支持向量机、交叉验证、主成分分析法及卷积神经网络理论设计了能够综合反映DDoS攻击的检测方法,有效地实现DDoS攻击检测过程。基于卷积神经网络的DDoS攻击检测研究包括:分析数据集、选择合适的特征,对数据进行归一化、主成分分析的处理,初始化分类模型并通过学习得到分类器。最后,分析实验结果并比较了方法的优劣,得出结论。
体系结构:
网络的非法攻击、导致数据模式改变的网络病毒、网络的操作不当以及网络硬件设施异常等都可能导致网络流异常现象的发生,从而造成过度消耗路由器资源,甚至会导致受害主机无法提供服务或死机。因此,实时网络流监测并对网络流异常现象作出精准识别成为当前网络安全领域面临的重要挑战。
支持向量机(Support Vector Machine,SVM)是建立在统计学习的VC维理论和结
构风险最小原理的基础上,根据有限样本的信息在模型的复杂性和学习能力之间寻求最佳
折中,以获得最优的推广能力。SVM分类器的结构设计简单、计算复杂度适中、泛化性能优
良,它在解决小样本、非线性及高维模式识别中表现出诸多突出的优点。在本发明中假定数
据线性可分,设训练集为:
此时,最大间隔分类器的优化目标为:
初始模型的约束条件为:
将求解条件极值转化为二次规划问题,由式(1)和(2)得:
将(4)和(5)代入公式(3),转化为一个新的二次规划问题。
在约束条件(5)和(6)下,获得最大化目标函数 (7):
但在实际应用中,支持向量机处理线性可分的情况时数据往往呈现出非线性的结
构,本发明引入核函数对原来的线性支持向量机进行了推广,使得非线性的情况也能被处
理,并且通过映射转换避免了在低维空间中复杂的非线性计算,从而提高了分类的效率和
灵敏度。本发明参考Cortes通过核函数将数据映射到高维特征空间来增加
分类器线性学习的能力。若支持向量机的求解只用到内积运算,且在低维输入空间中存在
某个函数,那么它恰好等于在高维空间中这个内积,即。
有益效果:
本发明提出了基于卷积神经网络的DDoS攻击检测方法,该方法具有以下优点:
1)本发明是建立在统计学习的VC维理论和结构风险最小原理的基础上,根据有限样本的信息在模型的复杂性和学习能力之间寻求最佳折中,以获得最优的推广能力。SVM分类器的结构设计简单、计算复杂度适中、泛化性能优良,在解决小样本、非线性及高维模式识别中表现出诸多突出的优点;
2)引入核函数对原来的线性支持向量机进行了推广,使得非线性的情况也能被处理,并且通过映射转换避免了在低维空间中复杂的非线性计算,从而提高了分类的效率和灵敏度;
3)提出了一种基于神经网络的安全状况评估模型,用于定量评估整个网络中DDoS攻击的安全状态。为了更合理地分析和评估网络安全风险,该模型分析了深度学习网络安全态势感知的应用,并结合了常用的深度学习方法和随机梯度下降方法来定量评估整个网络上DDoS攻击的安全状态。
附图说明
图 1是一种基于卷积神经网络的DDoS攻击检测流程;
图 2是一种基于卷积神经网络的DDoS攻击检测的数据经过核函数映射后的结果;
图 3 是一种基于卷积神经网络的DDoS攻击检测方法的主成分分析原理。
具体实施方式
本发明是基于卷积神经网络的DDoS攻击检测方法,通过研究了DDoS攻击与检测的现状和发展趋势,分析了DDoS攻击原理、类型以及SVM的工作原理和网络流数据处理的方法并引入卷积神经网络对模型进行训练,学习各种网络安全指标,以实现对网络的全面评估。首先,对数据进行Min-Max归一化、PCA降维处理,通过核函数将预处理后的样本映射到高维特征空间,再引入参数V控制支持向量和错误向量的个数。然后,将初始模型转换为对偶模型,求出决策系数w和决策项b,最终获得最优分类超平面。基于卷积神经网络的DDoS攻击检测方不仅提高了分类准确率、降低了误报率,还确保了分类模型的稳定性和时效性,它更高效地检测了DDoS攻击,降低了网络安全的风险。具体流程如下:
步骤 1)网络流的采集。对网络流进行采样分析是研究DDoS攻击检测的关键。采集流量的工具、途径和模式往往决定了评估整个网络性能的好坏,也影响着研究人员对网络的监控、分析和预测。本发明按网络流采集模式和采集原理的不同,采用了基于网络探针的网络流采集方法和基于云服务模型的网络流采集方法两种高效可靠的采集方法。网络探针通常被安插在距离路由出口较近的位置,也可以被安插在任何一处网络区间上,用来获取相应网段的网络流信息并监听所有通过网络总线的通信。由于此方法通常在局域网范围内使用且网络探针不经过路由,所以它对整个计算机网络带宽不会产生太大影响。此外,它在网络流检测和分析时还能够提供更为详尽的数据信息。但安装网络探针连接接口的传输速率、监测主机的缓存和数据处理能力都将影响着网络流采集的准确度和效率。因此,该方法只能检测到一定范围内的网络流信息,对于大量网络信息流的传输处理将会更加复杂、实现成本更高以及适用性相对较差。云服务是面向用户提供公用化互联网基础设施的服务,它不仅可以高效地利用计算机集群的整体资源对网络流进行测量,还可以有效地缓解单一测量节点的采集压力,能更好地处理复杂多样的海量网络数据。与传统网络流采集方法相比,基于云服务模型的网络流采集方法以一对多的模式宏观控制计算节点,借助云平台采集到所有主机共享的资源,从而节省了大量的采集时间和系统开销。
步骤 2)数据特征分析。本发明采用美国国防高级研究计划局(Defense AdvancedResearch Projects Agency,DARAP)和麻省理工学院在1999年林肯实验室收集的9周时间内共500万条网络记录,其中攻击数据分为四大类型:DoS攻击、非法监听和探测、非法提权攻击(User-to-Root,U2R)和远程用户攻击(Remote-to-Login,R2L)。实际网络环境中存在噪声、延迟和拥塞等外在因素,若要有效地检测出的DDoS攻击,选择一组能够综合反映该攻击的特征是确保分类器加快学习速度、降低计算复杂度、提升准确率和稳定性的核心因素。由于网络攻击事件和时间有很强的关联性,当发生大规模DDoS攻击时,黑客会对目标主机进行持续的发包。以2s为一个时间间隔,统计出当前目标主机连接数与其之前连接个数或个数比值和服务前后错误连接个数占总连接数的百分比。当受害者在某一时间段内检测到主机或服务器接收到大量的连接请求,相比攻击前的数值,这些指标都会异常剧增。经实验及相关研究证明,基于固定时间间隔对网络流量进行统计能有效地体现DDoS攻击的特点。因此,本发明选择以下九项指标作为发生DDoS攻击行为的判断依据:
(1)与当前连接具有相同目标主机的连接数;
(2)与当前连接具有相同服务的连接数;
(3)相同目标主机的“SYN”错误连接占总连接的百分比;
(4)相同服务的“SYN”错误连接占总连接的百分比;
(5)相同目标主机的“REJ”错误连接占总连接的百分比;
(6)相同服务的“REJ”错误连接占总连接的百分比;
(7)相同目标主机连接中的相同服务连接占总连接的百分比;
(8)相同目标主机连接中的不同服务连接占总连接的百分比;
(9)相同服务连接中的不同目标主机连接占总连接的百分比。
步骤 3)数据归一化。由于样本中可能存在缺省值、奇异点或噪声的干扰,这会影响模型的分类准确率。因此,需要对数据作归一化处理,解决数据指标之间量纲的影响,以加快梯度下降求最优解的速度。本发明分析了以下两种常用的数据归一化方法:0均值标准化(Z-score Standardization)和线性函数归一化(Min-Max Scaling)。Z-Score标准化,是对原始数据的均值和标准差进行数值上的统一。经过处理的数据基本符合标准正态分布,即“Z-分布”。样本平均值为0,方差为1,转化函数为:
其中为所有样本数据的均值,为所有样本数据的标准差。
步骤 4)基于主成分分析的特征提取。本文首先从网络流数据集中抽取10000个记录样本作为训练集,计算九项指标的方差贡献率,判断所有指标值的方差贡献率之和是否大于85%,若满足条件则输出主成分个数m,反之进行下一次迭代计算,直到满足条件为止。高维向量x通过特征向量矩阵投影到一个低维的向量空间中,在得到结果矩阵T后确定相应主成分的个数为 m,最后将训练集中的9个特征指标转化为3个综合指标,得到新的训练集,其中3个相互正交的新特征是原始特征的线性组合,即横坐标为主成分。3个特征值累计方差之和占总方差的百分比约为97%,舍去剩余贡献率非常低特征值,降维后的各个主成分都能够反映原始特征的大部分信息,且所含信息互不重复。主成分分析法使数据分析的过程简单化,既达到了重构出所对应的原始高维向量的目的,又获得了更加科学有效的数据信息。
步骤 5) 攻击检测。针对数据分布不规则、含有奇异值或噪声点等问题,本发明对数据集进行了预处理。通过Min-Max归一化、Z-score归一化以及主成分分析法清除了异常或重复的样本,使得实验数据分布更为合理且降低了计算的复杂度,为分类模型的构建做好了前期准备,有助于实验的统一性并提高了DDoS攻击检测方法的质量。虽然数据预处理技术成功地解决了上述问题,但网络数据本身非结构化的属性往往也会影响系统的检测效率。引入了一种V-支持向量机(V-Support Vector Machine,V-SVM),取消参数C,增加了能够控制支持向量和错误向量个数的参数V和变量p,充分体现参数V的价值,提高DDoS攻击的检测效率、降低分类误报率。
Claims (1)
1.一种基于卷积神经网络的DDoS攻击检测方法,其特征在于通过研究DDoS攻击与检测的现状和发展趋势,分析DDoS攻击原理、类型以及SVM的工作原理和网络流数据处理方法并引入卷积神经网络对模型进行训练,学习各种网络安全指标,以实现对网络的全面评估;
步骤 1)网络流的采集;按网络流采集模式和采集原理的不同,采用了基于网络探针的网络流采集方法和基于云服务模型的网络流采集方法两种高效可靠的采集方法;网络探针通常被安插在距离路由出口较近的位置,也可以被安插在任何一处网络区间上,用来获取相应网段的网络流信息并监听所有通过网络总线的通信;
由于此方法通常在局域网范围内使用且网络探针不经过路由,所以它对整个计算机网络带宽不会产生太大影响;此外,它在网络流检测和分析时还能够提供更为详尽的数据信息;但安装网络探针连接接口的传输速率、监测主机的缓存和数据处理能力都将影响着网络流采集的准确度和效率;因此,该方法只能检测到一定范围内的网络流信息,对于大量网络信息流的传输处理将会更加复杂、实现成本更高以及适用性相对较差;云服务是面向用户提供公用化互联网基础设施的服务,它不仅可以高效地利用计算机集群的整体资源对网络流进行测量,还可以有效地缓解单一测量节点的采集压力,能更好地处理复杂多样的海量网络数据;与传统网络流采集方法相比,基于云服务模型的网络流采集方法以一对多的模式宏观控制计算节点,借助云平台采集到所有主机共享的资源,从而节省了大量的采集时间和系统开销;
步骤 2)数据特征分析;实际网络环境中存在噪声、延迟和拥塞等外在因素,若要有效地检测出的DDoS攻击,选择一组能够综合反映该攻击的特征是确保分类器加快学习速度、降低计算复杂度、提升准确率和稳定性的核心因素;
由于网络攻击事件和时间有很强的关联性,当发生大规模DDoS攻击时,黑客会对目标主机进行持续的发包;而以2s为一个时间间隔,统计出当前目标主机连接数与其之前连接个数或个数比值和服务前后错误连接个数占总连接数的百分比;当受害者在某一时间段内检测到主机或服务器接收到大量的连接请求,相比攻击前的数值,这些指标都会异常剧增;经实验及相关研究证明,基于固定时间间隔对网络流量进行统计能有效地体现DDoS攻击的特点;因此,本发明选择九项指标作为发生DDoS攻击行为的判断依据;
步骤 3)数据归一化;由于样本中可能存在缺省值、奇异点或噪声的干扰,这会影响模型的分类准确率,因此,需要对数据作归一化处理,解决数据指标之间量纲的影响,以加快梯度下降求最优解的速度;通过分析了以下两种常用的数据归一化方法:Z-scoreStandardization和Min-Max Scaling,其中Z-Score标准化,是对原始数据的均值和标准差进行数值上的统一,经过处理的数据基本符合标准正态分布,即“Z-分布”,样本平均值为0,方差为1,转化函数为:
其中为所有样本数据的均值,为所有样本数据的标准差;
步骤 4)基于主成分分析的特征提取;首先从网络流数据集中抽取10000个记录样本作为训练集,计算九项指标的方差贡献率,判断所有指标值的方差贡献率之和是否大于85%,若满足条件则输出主成分个数m,反之进行下一次迭代计算,直到满足条件为止;再者,高维向量x通过特征向量矩阵投影到一个低维的向量空间中,在得到结果矩阵T后确定相应主成分的个数为 m,最后将训练集中的9个特征指标转化为3个综合指标,得到新的训练集;3个相互正交的新特征是原始特征的线性组合,即横坐标为主成分,3个特征值累计方差之和占总方差的百分比约为97%,舍去剩余贡献率非常低特征值,降维后的各个主成分都能够反映原始特征的大部分信息,且所含信息互不重复;主成分分析法使数据分析的过程简单化,既达到了重构出所对应的原始高维向量的目的,又获得了更加科学有效的数据信息;
步骤 5) 攻击检测;针对数据分布不规则、含有奇异值或噪声点的问题,通过引入了V-SVM,增加了能够控制支持向量和错误向量个数的参数V和变量p,对数据集进行了预处理,充分体现参数V的价值,提高DDoS攻击的检测效率、降低分类误报率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011605950.9A CN112788007A (zh) | 2020-12-30 | 2020-12-30 | 基于卷积神经网络的DDoS攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011605950.9A CN112788007A (zh) | 2020-12-30 | 2020-12-30 | 基于卷积神经网络的DDoS攻击检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112788007A true CN112788007A (zh) | 2021-05-11 |
Family
ID=75753313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011605950.9A Pending CN112788007A (zh) | 2020-12-30 | 2020-12-30 | 基于卷积神经网络的DDoS攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112788007A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113379030A (zh) * | 2021-05-19 | 2021-09-10 | 北京创安恒宇科技有限公司 | 一种基于多维安全控制措施模型识别的比对方法 |
CN113489685A (zh) * | 2021-06-15 | 2021-10-08 | 江苏大学 | 一种基于核主成分分析的二次特征提取及恶意攻击识别方法 |
CN113660267A (zh) * | 2021-08-17 | 2021-11-16 | 电子科技大学 | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 |
CN114285651A (zh) * | 2021-12-27 | 2022-04-05 | 电子科技大学 | 一种工控环境下的DDoS攻击检测方法 |
CN115473748A (zh) * | 2022-11-14 | 2022-12-13 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
-
2020
- 2020-12-30 CN CN202011605950.9A patent/CN112788007A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113379030A (zh) * | 2021-05-19 | 2021-09-10 | 北京创安恒宇科技有限公司 | 一种基于多维安全控制措施模型识别的比对方法 |
CN113489685A (zh) * | 2021-06-15 | 2021-10-08 | 江苏大学 | 一种基于核主成分分析的二次特征提取及恶意攻击识别方法 |
CN113660267A (zh) * | 2021-08-17 | 2021-11-16 | 电子科技大学 | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 |
CN114285651A (zh) * | 2021-12-27 | 2022-04-05 | 电子科技大学 | 一种工控环境下的DDoS攻击检测方法 |
CN115473748A (zh) * | 2022-11-14 | 2022-12-13 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
CN115473748B (zh) * | 2022-11-14 | 2023-04-07 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112788007A (zh) | 基于卷积神经网络的DDoS攻击检测方法 | |
CN107483488B (zh) | 一种恶意Http检测方法及系统 | |
CN107426199B (zh) | 一种网络异常行为检测与分析的方法及系统 | |
CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
Jeya et al. | Efficient classifier for R2L and U2R attacks | |
CN113079143A (zh) | 一种基于流数据的异常检测方法及系统 | |
CN111092862B (zh) | 一种用于对电网终端通信流量异常进行检测的方法及系统 | |
Li et al. | DDoS attacks detection using machine learning algorithms | |
Piskozub et al. | Malalert: Detecting malware in large-scale network traffic using statistical features | |
Kato et al. | An intelligent ddos attack detection system using packet analysis and support vector machine | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
Gomes et al. | Cryingjackpot: Network flows and performance counters against cryptojacking | |
CN112165470A (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
Tang et al. | Low-rate dos attack detection based on two-step cluster analysis | |
David et al. | Detection of distributed denial of service attacks based on information theoretic approach in time series models | |
CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
CN109995722A (zh) | 面向apt防护的海量检测数据分析系统 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN111784404B (zh) | 一种基于行为变量预测的异常资产识别方法 | |
Jin et al. | Survey of intrusion detection methods based on data mining algorithms | |
Tian et al. | A transductive scheme based inference techniques for network forensic analysis | |
CN115086018A (zh) | 视频前端设备聚类分析入侵检测方法 | |
Liu et al. | LDoS attack detection method based on traffic classification prediction | |
Abdallah et al. | An Optimal Framework for SDN Based on Deep Neural Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |